V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
islaohu
V2EX  ›  程序员

腾讯云 COS 建议大家别用了 URL Query 都能搞成违规

  •  
  •   islaohu · 357 天前 · 3731 次点击
    这是一个创建于 357 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先表现为,访问组件世界时候直接返回这样的类似于 404 的错误页面(不能传图,直接写内容了)

    第 451 章 因法律原因无法联系
    代码:因法律原因不可用
    消息:由于内容非法,指定的密钥不可用。
    关键:index.html
    请求 ID:NjU3MDQwOWZfZWQ3MGYyMDlfMzhlOF9iOTNlNGZh
    TraceId:OGVmYzZiMmQzYjA2OWNhODk0NTRkMTBiOWVmMDAxODc0OWRkZjk0ZDM1NmI1M2E2MTRlY2MzZDhmNmI5MWI1OTQ5YWUxMjNkYTk3NzdjZmZlMDQzOTgxOThkOTNlOWFkMmM3MjgzMj ZlOWZkNDc1NzMwNTljY2I5M2RmYWFmMjc=
    

    随即我就去查了一下腾讯云私信,发现了一个通知

     [腾讯云] 您使用的腾讯云服务存在违规信息,已被限制访问
    尊敬的腾讯云用户,您好!
    
    您的腾讯云账号(账号 ID: **********, 昵称: *******@qq.com )下的 COS 服务存在违规信息,http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 已被限制访问,您可以前往对象存储控制台违规列表页面查看具体信息。感谢您的理解和支持!
    
    违规类型:内容违规
    
    违规资源: http://widgetstore-*******.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com
    
    温馨提示:
    1. 违规信息类型说明;
    2. 您可参考对象存储安全管理实践加强自身业务数据的安全管理;
    3. 请您在处理前备份您的重要数据;
    4. 本通知以站内信、邮件、短信等方式触达,如需修改接收方式可登录控制台->账号信息->消息订阅中选择内容安全产品进行修改;
    5. 鉴于您名下账号的违规性质及违规频次,腾讯云可能根据 《中华人民共和国网络安全法》、《电信业务经营许可管理办法》及《腾讯云服务协议》等相关规定,有权限制、暂停、终止向您提供部分或全部产品和服务,且违规资源不可解封;
    6. 若在使用过程中遇到任何问题,您可以进入在线客服或拨打 4009100100/95716 进行反馈,我们将竭诚为您服务!
    此致 
    腾讯云团队
    

    所以大致能猜测到是用户访问 A 姐在 www.ahhhhfs.com 中推荐的组件世界文章有用户通过看文章引导到了组件世界,然后带了 utm_source=www.ahhhhfs.comquery 参数,好巧不巧,腾讯云就把这次请求判定为违规了???????

    然后接下来的骚操作为,直接删除储存桶里面的这个 index.html 入口文件,这是什么操作???

    然后用户再访问站点就是拿到的一开始的违规的提示,整站不可达 整站直接不可访问 要不是用户反馈 我真的不知道什么时候会发现这个问题。

    我是一个小站点,所以没啥大的影响,那么大一点的公司呢,如果一个 query 参数就可以轻轻松松让一个站点的 cos 资源被这样封禁掉,这得存在多大的安全隐患啊。

    到这里我本来没有那么大的情绪,然后接下来我通过官方售后客服联系反馈了这个问题,

    您好,腾讯云很高兴为您服务,您已接入人工,工程师将尽快为您核实问题处理。
    
    您好,我是服务您的工程师,您的问题我正在查看中,请您稍等一下,有结果我这边马上同步给您,谢谢。
    
    我:如此傻瓜式的连 query 都纳入违规识别范畴
    
    非常抱歉给您带来不便,关于您反馈的问题我们已收到。经初步排查,需为您转接相关负责人进一步跟进处理,(我马上转接)请稍等。
    
    我:麻烦快点处理 这个压根就不是我们的问题
    
    您好,关于您的问题,这边需要进一步为您确认,可能时间比较长,预计需要 1-3 小时左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
    感谢您的理解与支持。
    
    已收到您的投诉,我们会尽快答复您。
    
    非常理解您着急的心情,您的问题正在为您加急核实中,有进展第一时间与您同步,还请您稍等
    
    ————————三个小时后————————
    
    我:你们就是这样处理问题的吗
    
    您好, 十分不好意思,给您带来不便了,这边已为您申请解封了,目前这个是需要您进行申诉的,违规资源:
    http://widgetstore-*********.cos.ap-nanjing.myqcloud.com/index.html?utm_source=www.ahhhhfs.com 目前需要您在网址中心进行申诉,根据网址中心回复进行整改,感谢您的支持与理解。
    申诉网址:
    https://urlsec.qq.com/complain.html
    
    我:什么叫做整改?
    
    我:外行都知道这个和我们没关系
    
    非常理解您的心情,您的资源已经为您申请解除封禁了,辛苦您核实下,如您方便的话,辛苦您进行申诉,违规原因辛苦您通过以上信息在网址中心进行申诉,因为这个是根据网址安全中心的申诉结果来决定的,辛苦您。
    
    我:后面如果再出现你们又该怎么办呢
    
    您好,关于您的问题,这边需要进一步为您确认,目前正在为您核实中,可能时间比较长,预计下次同步时间 24 点左右,期间有进展第一时间与您同步,辛苦您耐心等待下;
    感谢您的理解与支持。
    

    一顿和客服拉扯之后气就上来了

    没办法,就只能换桶部署一下前端资源了

    这样的操作,真的真的真的。。。。。

    是不是访问 wwww.qq.com?url=特殊站点 然后 qq 的 index.html 也给来个封禁?

    最后,还是感谢一下 A 姐 在去年对 组件世界 的推荐分享 NotionPet:丰富的 Notion 组件库 这次分享为组件世界带来了非常多的用户和流量,十分感谢 🙏

    16 条回复    2023-12-07 17:32:30 +08:00
    whileFalse
        1
    whileFalse  
       357 天前 via Android   ❤️ 1
    为什么那么多人喜欢拿对象存储域名直接当网站用?好歹加个 cdn 吧
    islaohu
        2
    islaohu  
    OP
       357 天前
    @whileFalse 其实是加了 CDN 的
    owen800q
        3
    owen800q  
       357 天前 via iPhone
    Aws S3 不好用嗎,何必自討苦吃
    islaohu
        4
    islaohu  
    OP
       357 天前
    @owen800q 国内可以访问吗
    owen800q
        5
    owen800q  
       357 天前 via iPhone
    @islaohu 跑了三年多了,没收到用户说不能访问
    islaohu
        6
    islaohu  
    OP
       357 天前
    @owen800q ok 感谢
    Mystery0
        7
    Mystery0  
       357 天前 via Android
    @islaohu 配置一个回源去掉 query 参数?
    xiangyuecn
        8
    xiangyuecn  
       357 天前
    看起来可以发起对任意存储桶的攻击,触发自动删除文件 封掉对方的密钥😅 利用价值很可观🐶
    hyperbin
        9
    hyperbin  
       356 天前 via Android
    因为腾讯的技术实力也就这样了
    toomi
        10
    toomi  
       356 天前 via Android
    腾讯云无提前通知封我服务器,历历在目,以后不会考虑用腾讯云
    yph007595
        11
    yph007595  
       356 天前
    我因为一个文件名违规,把我整个桶给封了。然后我把那个被封的桶删除了,新建了一个桶,把原来的文件重命名,继续放在里面,目前稳定。
    killva4624
        12
    killva4624  
       356 天前   ❤️ 1
    存储桶攻击听起来很刑啊,确认对方是桶后海量敏感词 param 招呼...
    Sum0l
        13
    Sum0l  
       356 天前
    这个机制看起来有点危险啊
    buffzty
        14
    buffzty  
       356 天前
    微信以前有个封人方法 你把对方备注成违禁词 对方会被 tx 的上级封掉 tx 都解封不了 你这个跟他如出一辙
    SilentOrFight
        15
    SilentOrFight  
       356 天前
    腾讯云就是草台班子中的草台班子
    id80108900
        16
    id80108900  
       356 天前
    吃了太多亏了;
    所以坚决不用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1202 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 88ms · UTC 23:22 · PVG 07:22 · LAX 15:22 · JFK 18:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.